浅谈APT攻击
如今高級持續性威脅(Advanced Persistent Threat,APT)已成為人盡皆知的“時髦術語”。越來越多的企業開始對其高度關注,政府部門也面臨著遭受APT攻擊的危險,在安全顧問的每一篇分析報告中都會提及它的“大名”。
眾多企業機構慘遭“不測”的一個主要原因在于它們沒有發現真正的漏洞所在并加以修復。如果用戶還在疲于應對三年前的威脅,毫無疑問,這將于事無補。APT促使企業和機構必須將重點放到今天存在的真正威脅上。
題主并不是APT專家,只是每個人在不同時機看的東西不一樣,只想在此之際,科普一下,分享一些想法,歡迎指正,批評。
高持續性威脅(APT)是以商業和政治為目的的一個網絡犯罪類別。APT需要長期經營與策劃,并具備高度的隱蔽性,才可能取得成功。這種攻擊方式往往不會追求短期的經濟收益和單純的系統破壞,而是專注于步步為營的系統入侵,每一步都要達到一個目標,而不會做其他多余的事來打草驚蛇。
整個apt攻擊過程包括定向情報收集、單點攻擊突破、控制通道構建、內部橫向滲透和數據收集上傳等步驟:
1、定向情報收集
定向情報收集,即攻擊者有針對性的搜集特定組織的網絡系統和員工信息。信息搜集方法很多,包括網絡隱蔽掃描和社會工程學方法等。
2、單點攻擊突破
單點攻擊突破,即攻擊者收集了足夠的信息后,采用惡意代碼攻擊組織員工的個人電腦,攻擊方法包括:
1)社會工程學方法,如通過email給員工發送包含惡意代碼的文件附件,當員工打開附件時,員工電腦就感染了惡意代碼;
2)遠程漏洞攻擊方法,比如在員工經常訪問的網站上放置網頁木馬,當員工訪問該網站時,就遭受到網頁代碼的攻擊,rsa公司去年發現的水坑攻擊(watering hole)就是采用這種攻擊方法。
3、控制通道構建
控制通道構建,即攻擊者控制了員工個人電腦后,需要構建某種渠道和攻擊者取得聯系,以獲得進一步攻擊指令。攻擊者會創建從被控個人電腦到攻擊者控制服務器之間的命令控制通道,這個命令控制通道目前多采用http協議構建,以便突破組織的防火墻,比較高級的命令控制通道則采用https協議構建。
4、內部橫向滲透
內部橫向滲透,一般來說,攻擊者首先突破的員工個人電腦并不是攻擊者感興趣的,它感興趣的是組織內部其它包含重要資產的服務器,因此,攻擊者將以員工個人電腦為跳板,在系統內部進行橫向滲透,以攻陷更多的pc和服務器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。
5、數據收集上傳
數據收集上傳,即攻擊者在內部橫向滲透和長期潛伏過程中,有意識地搜集各服務器上的重要數據資產,進行壓縮、加密和打包,然后通過某個隱蔽的數據通道將數據傳回給攻擊者。
轉載自:http://netsecurity.51cto.com/art/201406/443332.htm
下面針對APT攻擊流程以及事前、事中和事后的防御體系分開來說。
事前:信息收集
APT攻擊前的信息收集。信息收集是APT攻擊的第一步,攻擊者通過這個步驟確定其目標以及攻擊方法。
個人資料:人是最薄弱的環節
很多時候,導致企業受到攻擊的信息通常是沒有得到足夠重視和保護的信息。這可能是電話號碼、電子郵件目錄表、文檔中的元數據,以及企業高管的全名以及公司發展史等。公開的個人或企業的信息被稱為開源情報(OSINT),因為任何人都可以免費公開地獲取這些信息。
很多網絡罪犯會鏈接信息,即整合很多小數據直到獲得完整信息。黑客組織Anonymous在發動攻擊前,就是利用“dox”來收集關于個人或事物的信息,這些“dox”就是信息鏈。然而,不只是黑客和犯罪分子,安全專家也會采用這種做法,包括執法機構。
這些向公眾提供的信息包括:業務報告、新聞報道、企業網站、社交媒體賬戶(個人和專業)以及來自商業伙伴的相關信息。
通過這些信息,攻擊者將了解其攻擊目標以及原因;更重要的是,他們將知道如何攻擊這些目標,而不需要進行額外的背景研究。
談到沒有受到保護的數據,讓我們先看看元數據。
元數據:進入企業的隱藏的鑰匙
在這里,元數據是指嵌入在文檔和圖像中的信息。大多數人都不知道他們上傳到網上的圖片不僅包含圖像拍攝位置,而且還包含準確的時間戳,以及硬件信息。對于文檔(從PDF到PPT)中的元數據,攻擊者可以獲取軟件產品名稱和版本、文檔作者的名字、網絡位置、IP地址等。
了解元數據是很重要的,因為在偵察階段,攻擊者收集的第一個信息是可公開獲取的文檔。以下是利用元數據的很好的例子。在2011年,有人代表Anonymous上傳了1.2GB torrent文件,讓很多人相信美國商會、美國立法交流委員會(ALEC)、公共政策麥基諾中心遭受了數據泄露。事后發現,這些機構的文檔并沒有被偷竊,只是使用FOCA收集的文檔信息。
FOCA可以幫助企業發現元數據,還有很多可用資源可幫助企業管理和刪除元數據。
技術信息:入侵基礎設施
如前所述,攻擊者能夠知道目標企業使用的軟件類型,還有IP地址、web服務器規格(例如平臺版本)、虛擬主機信息以及硬件類型。
平臺版本號碼可以幫助員工找出存在的漏洞,當對于硬件,這些信息可以用來定位默認登錄信息。而對于腳本和網站開發,攻擊者可以被動掃描裸機漏洞、跨站腳本、SQL注入和其他漏洞。
技術偵查的另一種途徑是供應鏈。
有時候最好的辦法就是簡單的列出信息,下面是攻擊者在偵察活動中可能尋找的信息:
OSINT數據
▍可下載文件、員工照片和企業活動照片
·這為攻擊者提供了直接的信息以及收集元數據的機會
▍人員名單以及領導層信息
·了解誰是誰,并建立企業內部的關系
▍項目和產品數據
·當搜索攻擊面和背景信息時很有用
▍B2B關系
·這種數據被用來建立供應鏈關系和銷售渠道以便之后漏洞利用
▍員工的詳細信息
·這包括社交媒體的個人和公共數據
▍軟件數據
·目標企業內使用的軟件類型
構建完整的個人資料
完整個人資料包括:全名、地址(過去和現在)、電話號碼(個人和工作)、出生日期、社會安全號碼、 ISP的數據(IP地址、提供商)、用戶名、密碼、公共記錄數據(稅收、信貸歷史、法律記錄)、愛好、最喜歡的餐館、電影、書籍等等。
信息量越大,攻擊者成功的幾率就越大。
構建完整的技術資料
技術資料信息包括:網絡地圖、從元數據獲取的技術詳細信息、IP地址、可用硬件和軟件信息、操作系統詳細信息、平臺開發數據和驗證措施。
攻擊者可以利用個人資料數據并瞄準服務臺。知道ID是如何創建的可以幫助攻擊者了解電子郵件地址是如何創建,更方便地進行釣魚攻擊、猜測地址或初步溝通。攻擊者還可以搜尋操作系統、第三方軟件和平臺數據的漏洞或默認訪問。
數據收集資源:
在偵察階段,這些網站被用來收集個人資料信息,每個新信息都會給攻擊者帶來更多可利用信息。社交媒體信息會提供名字和圖片。
Google (www.google.com)
個人/企業搜索
這些網站提供了對個人用戶、企業以及二者之間聯系的公共信息。
Zoom Info (www.zoominfo.com)
PIPL (www.pipl.com)
Intelius (www.intelius.com)
Muckety (www.muckety.com)
其他搜索資源
Web Archive (www.archive.org)
GeoIP (www.geoiptool.com )
Robtex (www.robtex.com)
KnowEm (www.knowem.com)
ImageOps (http://imgops.com)
SHODAN (www.shodanhq.com)
整理收集的數據
在偵察階段整理所有收集到的各種信息,推薦的工具是Maltego。Maltego是一個OSINT工具,黑客、執法機構和安全專家使用它來管理信息鏈。它提供對數據的可視化概覽,能夠幫助整理用戶、組織、機構、網絡信息之間的關聯。
常見工具和軟件
對于在偵察階段攻擊者使用的工具,通常很容易獲得且易于操作,包括這些:
SQLMap (http://sqlmap.org)
BackTrack Linux (http://www.backtrack-linux.org)
Metasploit (http://metasploit.org)
總結
防止偵察幾乎是不可能的。你可以緩解一些攻擊,但互聯網本身的性質意味著信息會以這種或那種形式存在,并且,最終將被攻擊者發現。對于緩解措施,下面是需要考慮的事情。
事前防御解決方案
監控日志記錄和分析應用程序中異常下載流量高峰。
決不允許內部端口(內網)、文檔或存儲中心從網絡外部訪問。通過受限制IP或企業VPN以及ACL政策管理對這些資源的訪問。此外,良好的IAM(身份和訪問管理)也可以作為不錯的防御。啟用多因素身份驗證,有效管理過時的賬戶和密碼。
同樣地,監控網絡中的ICMP流量。此外,觀察對網絡子網的掃描。這很罕見,并且相當明顯,但這確實會發生。對看似隨意的端口進行檢查。
對于OSINT,另一個防御技術是限制公開顯示的信息量;包括電話簿、員工名單、過于具體的人員和領導介紹、項目計劃、業務和渠道合作伙伴以及客戶名單。
雖然這些數據并不是特別重要,但這些數據可以提供廣泛的攻擊面。如前所述,過濾元數據也是關鍵的緩解措施。然而,對這些數據的限制需要通過風險評估來確定,這需要所有業務領域的參與。
還要注意標語提取,這是攻擊者了解企業技術緩解常用的易于使用的技術。在攻擊者進行偵查后,下一個步驟將是武器化和交付。本系列的第二部分將研究這個方面以及解決辦法。
轉載自:http://netsecurity.51cto.com/art/201402/430076.htm
事前:攻擊時的武器與手段
我們將繼續介紹APT攻擊時使用的武器和手段,這是真正開始發動攻擊的階段,也是攻擊者需要通過的第一道"關卡"。
一般的攻擊主要依賴于數量,攻擊者會成百上千次的發送相同的鏈接或是惡意軟件,在大多數情況下,這個過程是自動化的,攻擊者使用機器人或基于web腳本來推動攻擊,如果攻擊了大量的潛在受害者,那么攻擊者可能獲得已經獲得了一半的成功。而APT攻擊則會使用多個鏈接、不同類型的惡意軟件,并控制攻擊量,因此,APT攻擊很難被傳統的安全防御手段所發現。
在建立有效載荷、選定攻擊目標后,攻擊者需要開始傳送惡意載荷到目標,他們選擇的傳送方法包括:
任何具有可利用漏洞的網站都可能受這種攻擊的影響。請記住,SQL注入攻擊可用于訪問存儲數據,也可以訪問感染數據庫中的身份驗證詳細信息,進一步推動攻擊。此外,跨站腳本和文件包含漏洞將讓攻擊蔓延。當惡意代碼注入到網站,攻擊者只需要等待受害者。在文件包含漏洞的情況下,如果攻擊者獲取對web服務器本身的控制,他們就可以攻擊其他區域以及服務器上的數據。
注意: 這就是分離和保護網段的原因。這能夠幫助降低數據泄漏期間連帶效應的風險。如果對一個區域的訪問允許訪問所有其他區域,攻擊者的工作就變得更加容易了。
這種攻擊的目標可能是開發人員、QA、IT或銷售人員,因為這些人更可能使用論壇或其他社交環境來與同行交流或尋求協助。 SQL注入、文件包含和跨站腳本漏洞都將是主要切入點。如果攻擊者可以控制直接綁定到目標網絡的服務器,那么,攻擊員工就成為了次要目標。
網絡釣魚活動中使用的電子郵件地址可能來自各種來源,包括在偵察階段收集的數據,同時也可能來自數據庫泄漏事故公開披露的數據。一般網絡釣魚的目的是玩數字游戲,如果攻擊者發送惡意郵件到100萬地址,而安裝了1000個惡意軟件,那么,這將被視為一個巨大的成功。
魚叉式網絡釣魚活動很難被發現,特別是對于被動的反垃圾郵件技術。魚叉式網絡釣魚獲得成功是因為,受害者相信郵件中包含的信息,而且大多數人都認為反垃圾郵件保護會抵御這種威脅。
總結
將APT攻擊阻止在萌芽時期很關鍵,因為如果你能在這個階段阻止攻擊,那么,戰斗已經贏了。然而,犯罪分子沒有這么容易對付。除非你部署了分層防御措施,完全阻止這種攻擊,說起來比做起來容易。下面我們看看抵御攻擊的方法:
事前防御解決方案
入侵檢測系統(IDS)和入侵防御系統(IPS)是很好的保護層。然而,大多數只是部署了其中一個,而沒有都部署,最好的辦法就是同時部署這兩者。
IDS產品提供了可視性,但只有當數據泄漏事故發生后才有效。如果企業能夠即時對IDS警報采取行動,損失和損害可以得到緩解。在另一方面,IPS產品能夠有效發現和識別已知攻擊,但缺乏可視性。這兩個解決方案的缺點是它們所依賴的簽名。如果沒有更新簽名,你可能無法檢測攻擊者部署的最新攻擊技術。
反病毒保護通常能夠檢測很多漏洞利用工具包安裝的惡意軟件。但單靠AV簽名并沒什么用,所有AV產品都需要依賴于簽名保護。雖然AV供應商提供各種保護,包括白名單和基于主機的IDS,但這些功能需要啟用和使用。
垃圾郵件過濾也是檢測和阻止大部分攻擊必不可少的方法,但企業不能只依賴反垃圾郵件保護。它們很容易出現誤報,無法阻擋一切攻擊,特別是當攻擊者偽裝成白名單中的域名時。
補丁管理是另一個關鍵保護層,因為它能夠應對攻擊者最強的工具之一—漏洞利用工具包。然而,修復操作系統并不夠,還需要定期修復第三方軟件。
最后,還需要安全意識培訓。企業應該對用戶進行培訓來抵御最明顯的威脅,包括網絡釣魚攻擊。安全意識培訓是持續的舉措,能夠直接解決企業面臨的風險。
轉載自:http://safe.it168.com/a2014/0220/1594/000001594865.shtml
事中:攻擊時的漏洞利用
在這個階段情況已經急轉直下,因為攻擊者已經成功交付其惡意有效載荷。
毫無疑問,如果讓攻擊者已經順利進展到了這個階段,問題已經很嚴重了,但是你仍然有機會。現在,攻擊者已經傳送了附有惡意附件的電子郵件,如果成功的話,攻擊者將能夠利用你企業使用的軟件中的漏洞。而如果漏洞利用成功的話,你的系統將受到感染。然而,攻擊者在攻破你的防御后,可能會制造一些動靜。如果是這樣,關于他們攻擊方法和攻擊類型的證據可能位于網絡或系統日志中。另外,你的各種安全事件監控器中可能包含攻擊的證據。
如果攻擊者的漏洞利用沒有被發現,你的勝算就會變的更小。據2013年Verizon數據泄漏調查顯示,66%的數據泄漏保持幾個月甚至更長時間都未被發現。即使泄漏事故被發現,也主要是因為無關的第三方曝光。
在漏洞利用后,攻擊者需要建立一個立足點,也就是安裝,也就大多數端點保護的關注點。攻擊者通常是通過在感染主機上安裝額外的工具來獲得立足點。
攻擊者可能從初始切入點進入網絡中的其他系統或服務器。這種支點攻擊(Pivoting)能夠幫助攻擊者完成其總體目標,并確保他們不被發現。
通常情況下,支點攻擊的成功是因為對網絡政策的漏洞利用,讓攻擊者能夠直接訪問一些系統,這樣,他們就不需要利用另一個漏洞或惡意軟件。
事件響應計劃主要用來攻擊者活動的安裝階段。因為防御措施已經失敗,所以響應是唯一的選擇了。然而,只有在檢測到攻擊,才可能進行事件響應。假設漏洞利用階段沒有被檢測到,而攻擊者成功安裝惡意軟件后,該怎么辦?如果你幸運的話,你可以檢測到一些攻擊的證據,并利用它們來推動事件響應過程。
企業經常忽視感染指標(Indicators ofCompromise,IOC),因為它們通常隱藏在海量日志記錄數據中。沒有人有時間讀取數百或數千條數據,這也是為什么經常需要幾個星期或幾個月檢測到數據泄漏事故的原因。
假設攻擊者瞄準一名員工,并攻擊了企業系統,為了檢測到這種攻擊,關鍵是尋找異常情況,尋找似乎格格不入的東西。
另一個例子是尋找隨機的意想不到的DNS請求。攻擊者往往會回調以利用其他工具,或者他們的有效載荷會發出外部請求。(1)將DNS請求與已知惡意服務器、名聲不好的IP地址列表進行匹配,這樣做通常能夠檢測到攻擊,因為漏洞利用階段是攻擊者可能制造動靜的時期。
那么,對于水坑攻擊呢?什么算是很好的IOC呢?這也將需要讀取大量日志數據,但(2)如果Web服務器日志充斥著500錯誤、權限錯誤或路徑錯誤,問題就嚴重了。因為這可能意味著SQL注入和跨站腳本攻擊等。(3)或者,500錯誤也可能是良性的。但當它們與數據庫錯誤同時出現,或者來自單個應用程序或資源,則可能意味著攻擊。
(4)同樣地,觀察404錯誤,看看這些錯誤是如何被觸發。在很多情況下,web漏洞掃描儀或探測應用程序的機器人觸發了這些事件。最后,(5)如果你發現shell腳本(例如r57或c99),通常是因為你已經注意到了日志中的隨機GET或POST請求,這是很明顯的IOC。事實上,web服務器上的shell是最糟糕的發現,表明已經出現數據泄漏。因為shell意味著攻擊者已經控制著一切。
事中防御解決方案
在緩解措施方面,很多簽名提到的保護層仍然適用。事實上,其中一些保護層很適合于漏洞利用階段。例如,(1)數據執行保護(DEP)可以很好地防止惡意軟件在被感染主機上運行。
雖然攻擊者可能能夠傳送惡意軟件,當受害者嘗試執行它時,DEP將會阻止它。然而,還有大量惡意軟件變種和軟件漏洞利用會瞄準DEP,所以你不能僅僅依靠這種保護。
(2)白名單是另一個很好的緩解措施,但這種辦法有可能攔截合法(白名單)應用程序,也就是說,白名單也不能作為防止漏洞利用的唯一來源。
(3)反病毒控制(例如針對IP地址和軟件的聲譽檢查)是很好的防御措施,因為大多數AV軟件提供行為檢測。但AV并不是完美的解決方案,如果漏洞利用階段使用了未知的東西,AV可能會完全沒用。基于主機的IDS同樣是如此,但如果沒有部署這些技術,情況會更糟。
最后,(4)對操作系統和第三方程序保持軟件更新和補丁修復,能夠很好地防止漏洞利用,(5)并且能夠控制權限。最小特權原則是IT內經常忽視的工具,但這是個很好的工具。
這些緩解措施的重點是,它們都不能完全阻止漏洞利用和安裝階段,但如果結合使用,防止嚴重攻擊的幾率將會增加。
轉載自:http://netsecurity.51cto.com/art/201402/430297.htm
事中:攻擊時的命令和控制
在這個階段,攻擊者已經侵入了你的網絡,并將開始進行最后的攻擊活動,這個階段通常被稱為C2。攻擊者已經完成了偵察、武器化和傳送以及漏洞利用和安裝階段。
C2階段主要是關于通信,但要記住,C2階段并不包括數據傳輸。C2階段是建立通信通道,允許攻擊者與外部溝通。
被動攻擊是自動化的。自動化可以幫助攻擊者實現攻擊量,因為幾乎不需要交互。然而,這種自動化意味著他們可能被發現。當企業內50個系統與相同未知主機通信,可能會被注意到。
有針對性的攻擊則更具體,幾乎沒有自動化。攻擊者將會發出命令,并使用特定的工具。有針對性攻擊的所有活動都是有目的的,并會努力逃避偵察,盡量保持低調。
當你的企業淪為被動攻擊受害者,攻擊者使用的自動化工具無法逃避現有安全控制和緩解措施的檢測,因為它們制造了太多動靜。因此,企業應該盡快阻止這種攻擊。
需要注意的是,被動攻擊采用自動化方式是因為,這些攻擊活動背后的操作者更側重攻擊量,而不是控制。如果他們的惡意軟件或其他有效載荷被發現和阻止,這并沒什么大不了,他們可以馬上轉移到其他受害者。
然而,如果企業淪為有針對性攻擊的受害者,這意味著攻擊者將會在企業內找到立足點,并會繞開安全控制或禁止安全控制來避免被發現。(1)此外,攻擊者還會試圖建立后門程序到其他系統,創建更多切入點,以防其中一個切入點被發現。因此,在企業的事件響應計劃中,一個很好的經驗法則是,如果你看到一個后門程序,這意味著還潛伏著其他后門程序。
“堅實的”C2是指攻擊者可以動態調整其程序,增加事件響應者手動檢測的難度,甚至不可能。這也是數據泄漏事故很長時間才被發現的原因。
攻擊者往往會回調以獲取額外的工具,或使用有效載荷發出外部請求。這些感染指標能夠清楚地揭示C2活動,因為與正常網絡流量相比,這些有些異常。
因此,(2)企業應該對比DNS請求和已知惡意服務器列表,或者過濾有著不良聲譽的IP地址,以應對這種類型的流量。在漏洞利用和安裝階段后,C2階段是攻擊者少數制造動靜的時期。然而,當這些流量被自動化檢測標記時,則表明是被動攻擊。
這樣想,如果攻擊活動背后的操作者在使用C2通道或者從已知惡意來源下載有效載荷,你的企業可能是攻擊者的目標之一。在另一方面,有針對性攻擊活動背后的操作者會謹慎避免被檢測。他們會將C2流量隱藏在正常通信通道內。
事中防御解決方案
在C2建立后,攻擊者就成功了一半。一般被動攻擊是自動化的,動靜很大,并且會立即發動攻擊,而有針對性攻擊則會潛伏數天、數周甚至數月。因此,(3)在C2階段,流量監控是關鍵防御措施。如果能夠結合前面提到的防御措施,你就建立了一個強有力的分層保護。
(4)只要正確配置和維護(包括定期更新),IPS和IDS系統可作為第一層防御。然后,(5)企業需要ACL規則來通過防火墻限制入站和出站連接。然而,還需要限制防火墻規則中例外的數量,并且需要對這些例外進行密切檢測,或者在不需要時撤銷。在有針對性攻擊期間,你的安全規則和政策可能被用來針對你,特別是當它們過時或不受監管時。
最后,(6)企業應該監控網絡上流量的移動情況,更重要的是,監控移動到外部的流量。同時,(7)關注紅色標記的事件,例如修改HTTP表頭,以及到未知IP地址或域名的連接。(8)加密流量是被動攻擊和有針對性攻擊活動使用的常用技巧,在這種情況下,C2可能更難被發現,但也不是沒有可能。(9)你可以查找自簽名證書和未經批準或非標準加密使用。
轉載自:http://safe.it168.com/a2014/0226/1596/000001596892.shtml
事后:攻擊后期的數據滲出
在這個階段,也是APT攻擊的最后階段,如果APT攻擊活動還沒有被阻止,那么數據很可能即將被泄漏出去。
數據滲出是APT攻擊的最后一步,如果攻擊者完成這一步,你企業將面臨巨大損失。在目標數據被確定后,這些數據將被復制并通過C2通道移出網絡,或者可能被復制到網絡中的另一區域,然后再被移出。從這一點來看,企業應該容易發現被動攻擊和有針對性攻擊。
被動攻擊動靜很大,分層防御措施很容易發現這種攻擊。另一方面,有針對性攻擊完全相反。
有針對性攻擊活動背后的攻擊者會盡可能保持低調,所以不可能出現大規模數據轉儲。在有針對性攻擊中,我們會看到數據偽裝成正常流量通過C2通道離開網絡。
在前面C2中,我們談到了攻擊通常會利用有著不良聲譽的通信信道。對于每個感染的主機,攻擊者會使用了相同的容易識別的通道。
這種攻擊會將數據滲出到其他國家的數據中心的服務器,當地法律可能沒有禁止這種數據使用。在這些情況下,你不要指望ISP提供幫助。所以,如果你不阻止數據離開網絡,即使你發現數據的滲出,這種信息從法律上看也沒多大用處。
有針對性攻擊會攻擊合法服務器來存儲數據。在很多情況下,受感染的服務器管理員可能不知道他們正在托管不屬于自己的數據,而當他們意識到有什么不對勁時,攻擊者已經早已離去。
事后防御解決方案
在滲出階段,最好的防御措施就是感知。你需要知道哪些數據進出你的網絡,監控出站流量和入站流量都很重要。
DLP解決方案也可以用于應對滲出階段。如果配置得到,DLP產品可以幫助監控網絡流量,并控制流量。它們能夠發現未經授權的加密,被動和有針對性攻擊會利用加密來隱藏通信。還能夠發現異常流量模式。
另外,監控用戶賬戶活動也可以作為防御措施,有些合法賬戶可能出現異常活動。
在C2階段使用的防御措施同樣可用于滲出階段,包括根據IP地址、IPS和IDS系統(可以調整為監控所有階段的活動)以及應用防火墻規則(控制哪些程序允許發送流量到外部)阻止訪問。這些規則還可以應用到工作站或網段。
假設你捕捉到滲出過程,日志記錄將成為事件響應的關鍵資源,因為日志能夠確定發生了什么、如何發生等。通常情況下,在被動或有針對性攻擊中,確定攻擊者是很重要的,但實際上這是不可能的,這個問題我們主要是靠猜測而不是事實。
無論采用何種防御措施,最好的辦法是在事故發生前阻止事故。這正是澳大利亞信號理事會(ASD)的主要工作,其網絡不斷有攻擊者試圖訪問敏感信息。ASD采用了四種防御措施,并指定它們作為其網絡的強制性要求。這四個強制性措施包括:
應用程序白名單
第三方軟件補丁管理
操作系統補丁管理
權限管理(限制使用域或本地管理員權限的用戶數量)
在本系列文章的開始,我們探討了有針對性攻擊和被動攻擊的目的的區別,以及這些攻擊者的總體目標。工具、戰略和程序并不重要。你的企業更有可能成為機會攻擊的受害者,而不是受民族國際資助的有針對性攻擊的受害者。
應對這兩種攻擊的最好辦法就是分層防御。感知和可視性是快速反應以及減少損失的關鍵。雖然持續性攻擊活動最終會成功,但我們可以提高攻擊者的難度,以及減少損失。關鍵是要權衡風險,制定符合企業需求的安全計劃,不要恐懼APT。
轉載自:http://netsecurity.51cto.com/art/201402/430604.htm
遭受APTs攻擊的五個信號
與傳統網絡攻擊相比,黑客所發動的APTs(高級持續性威脅)是一個新興的攻擊類型。APTs會給企業和網絡帶來持續不斷的威脅,能夠發動APTs攻擊的黑客,往往是一個有著良好紀律性的組織,作為一個專業團隊集中進行網絡活動。通常情況下,他們將寶貴的知識產權、機密的項目說明、合同與專利信息作為竊取目標。
發動APT的黑客在一般情況下所使用的方法便是用網絡釣魚郵件或其他的技巧來欺騙用戶下載惡意軟件。但其最終目的往往是極其核心的信息。
因為APT黑客與普通黑客所用的技術不同,所以他們會留下不同的痕跡。在過去的十年里,我發現了若是出現下列5種信號的話,你的企業很有可能已經遭到了APTs攻擊。在一個企業中,每個業務都有一個固定的、合法的活動頻率,若其活動頻率突然發生異變,說不定這部分業務正在被APT所利用。
APT信號 NO.1:在晚上,日志登錄信息的暴增
APTs首先會攻陷一臺電腦,然后會迅速接管整個網絡大環境。通過讀取數據庫的身份認證,竊取證書并反復利用這些權限,從而達到接管整個網絡的目的。他們了解哪些用戶(或者服務)賬戶擁有更高的權限,有了這些特權,他們就可以游走于網絡各方,危及企業的資產。因為攻擊者的生活時差與我們相反,所以通常情況下,日志中大量的登錄與注銷記錄的爆發都會發生在夜里。如果你突然發現日志的登錄注銷記錄突然大量出現,而該時間段里,這些員工應該是在家休息的,那么你就需要警惕了!
APT信號 NO.2:廣泛的后門木馬
APT黑客經常在開發環境中在被感染的電腦里面裝上后門木馬。他們這樣做是為了能夠確保隨時可以回來,即便是捕獲的日志認證發生了改變,他們也能夠通過此后門得到線索與信息。另一個相關的特征:一旦行蹤暴露,APT黑客不會像普通攻擊者那樣馬上逃走擦凈痕跡,為什么會如此呢?他們在企業中操控了計算機等相關設備,而且只要他們本人不坦白,即使是走了法律流程,這些潛在的威脅也很難被發現。
這段時間以來,大多數被部署了木馬的企業,均是被社會工程學的攻擊手段鉆了空子。這種攻擊手段相當普遍,它們使APT攻擊的成功率提高了不少。
APT信號 NO.3:意想不到的信息流動
我能想到的,檢測APT活動的最好方法是:看到大量意想不到的數據流從內部計算機向外部流動。有可能是從服務器流向服務器,也有可能是從服務器流向客戶端或是從網絡移動到網絡。
這些數據流可能是有限的,但是卻具備非常強的針對性。比如會有些人專門收取一些國外發來的郵件。我希望每個郵件客戶端都能夠顯示最新的用戶登錄地點以及最后訪問的登錄地點。Gmail和其他一些云電子郵件系統已經能夠實現這一點。
當然,為了更準確地判斷APT攻擊,你必須能夠從數據流中判斷是否存有異常,那么現在就開始了解你的數據流基準信息吧。
APT信號 NO.4:發現意外的大數據包
APTs攻擊通常將竊取的信息在內部進行整合,然后再傳輸到外部。如果發現大塊數據(這里指的是千兆字節的數據)出現在不該出現的地方,特別是那種在企業內部不常出現的壓縮格式,或是不需要壓縮的文件。發現這些數據后,你千萬需要小心了。
APT信號 NO.5:檢測哈希傳遞(pass-the-hash)黑客工具
雖然APTs攻擊中不是總是使用哈希值傳遞工具,這個工具卻會經常彈出。奇怪的是,黑客使用這個工具后,往往會忘記將其刪除。如果你發現了一個孤零零的哈希工具掛在那里,那他們肯定是有一點慌張了,或許至少可以證明他們確實是有所動作,你應該進一步深入調查。
如果非要讓我總結出APT攻擊的第6個信號的話,那么我將會強烈反對企業使用變態的Adobe Acrobat PDF文件,因為它是引起魚叉式網絡釣魚活動的重點。它是誘發APT攻擊的根源,我并沒有將其寫進上面5個信號中,因為Adobe Acrobat在任何地方都會被利用上。但是,如果你發現了一個魚叉式網絡釣魚攻擊,尤其是在一些高管不慎點擊了附加PDF文件后,你一定要開始著手尋找其他的攻擊特征。這很可能是APT攻擊的前奏。
話雖如此,但我希望你永遠不需要面對APT攻擊,它是你和你的企業最難以做到的事情之一。預防和早期檢測將會減輕你的痛苦與壓力。
轉載自:http://netsecurity.51cto.com/art/201211/363040.htm
那些應對APT攻擊的最新技術
網絡安全,尤其是Internet互聯網安全正在面臨前所未有的挑戰,這主要就是來自于有組織、有特定目標、持續時間極長的新型攻擊和威脅,國際上有的稱之為APT(Advanced Persistent Threat,高級持續性威脅)攻擊,或者稱之為“針對特定目標的攻擊”。這些攻擊統稱為新型威脅。
新型威脅的綜合分析
APT攻擊主要呈現以下技術特點:
1、 攻擊者的誘騙手段往往采用惡意網站,用釣魚的方式誘使目標上鉤。而企業和組織目前的安全防御體系中對于惡意網站的識別能力還不夠,缺乏權威、全面的惡意網址庫,對于內部員工訪問惡意網站的行為無法及時發現;
2、 攻擊者也經常采用惡意郵件的方式攻擊受害者,并且這些郵件都被包裝成合法的發件人。而企業和組織現有的郵件過濾系統大部分就是基于垃圾郵件地址庫的,顯然,這些合法郵件不在其列。再者,郵件附件中隱含的惡意代碼往往都是0day漏洞,傳統的郵件內容分析也難以奏效;
3、 還有一些攻擊是直接通過對目標公網網站的SQL注入方式實現的。很多企業和組織的網站在防范SQL注入攻擊方面缺乏防范;
4、 初始的網絡滲透往往使用利用0day漏洞的惡意代碼,而企業和組織目前的安全防御/檢測設備無法識別這些0day漏洞攻擊;
5、 在攻擊者控制受害機器的過程中,往往使用SSL連接,導致現有的大部分內容檢測系統無法分析傳輸的內容,同時也缺乏對于可疑連接的分析能力;
6、 攻擊者在持續不斷獲取受害企業和組織網絡中的重要數據的時候,一定會向外部傳輸數據,這些數據往往都是壓縮、加密的,沒有明顯的指紋特征,這導致現有絕大部分基于特征庫匹配的檢測系統都失效了;
7、 還有的企業部署了內網審計系統、日志分析系統,甚至是安管平臺,但是這些更高級的系統主要是從內控與合規的角度來分析事件,而沒有真正形成對外部入侵的綜合分析。由于知識庫的缺乏,客戶無法從多個角度綜合分析安全事件,無法從攻擊行為的角度進行整合,發現攻擊路徑。
因此,在APT這樣的新型威脅面前,大部分企業和組織的安全防御體系都失靈了。保障網絡安全亟需全新的思路和技術。
新型威脅的最新技術發展動向
新型威脅自身也在不斷發展進化,以適應新的安全監測、檢測與防御技術帶來的挑戰。以下簡要分析新型威脅采取的一些新技術。
精準釣魚。精準釣魚是一種精確制導的釣魚式攻擊,比普通的定向釣魚(spearphishing)更聚焦,只有在被攻擊者名單中的人才會看到這個釣魚網頁,其他人看到的則是404 error。也就是說,如果你不在名單之列,看不到釣魚網頁。如此一來,一方面攻擊的精準度更高,另一方面也更加保密,安全專家更難進行追蹤。
高級隱遁技術。高級隱遁技術是一種通過偽裝和/或修飾網絡攻擊以躲避信息安全系統的檢測和阻止的手段。高級隱遁技術是一系列規避安全檢測的技術的統稱,可以分為網絡隱遁和主機隱遁,而網絡隱遁又包括協議組合、字符變換、通訊加密、0day漏洞利用等技術。
沙箱逃避。新型的惡意代碼設計越來越精巧,想方設法逃避沙箱技術的檢測。例如有的惡意代碼只有在用戶鼠標移動的時候才會被執行,從而使得很多自動化執行的沙箱沒法檢測到可疑行為。有的惡意代碼會設法欺騙虛擬機,以逃避用虛擬機方式來執行的沙箱。
新型威脅的應對之策
一、總體思路
2012年8月,RSA發布了著名的報告——《當APT成為主流》。報告提及了現在組織和企業中現有的安全防護體系存在一些缺陷,導致很難識別APT攻擊。現有的防護體系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和組織結構,以及工作流程等等都存在不足。報告指出,應對APT需要采取一種與以往不同的信息安全策略及方法。該方法更加注重對核心資產的保護,以數據為中心,從檢測威脅的角度去分析日志,注重攻擊模式的發現和描述,從情報分析的高度來分析威脅。
報告提出了7條建議:
1、 進行高級情報收集與分析。讓情報成為戰略的基石。
2、 建立智能監測機制。知道要尋找什么,并建立信息安全與網絡監控機制,以尋找所要尋找之物。
3、 重新分配訪問控制權。控制特權用戶的訪問。
4、 認真開展有實效的用戶培訓。培訓用戶以識別社會工程攻擊,并迫使用戶承擔保證企業信息安全的個人責任。
5、 管理高管預期。確保最高管理層認識到,抗擊高級持續性攻擊的本質是與數字軍備競賽戰斗。
6、 重新設計IT架構。從扁平式網絡轉變為分隔式網絡,使攻擊者難以在網絡中四處游蕩,從而難以發現最寶貴的信息。
7、 參與情報交換。分享信息安全威脅情報,利用其他企業積累的知識。
Verizon發布的《2013年數據破壞調查報告》中則更加簡明扼要的概括了應對APT的最高原則——知己,更要知彼,強調真正的主動安全是料敵先機,核心就是對安全威脅情報的分析與分享。
二、技術手段分析
從具體的技術層面來說,為了應對APT攻擊,新的技術也是層出不窮。
從監測和檢測的角度,為了識別APT,可以從APT攻擊的各個環節進行突破,任一環節能夠識別即可斷開整個鏈條。
根據APT攻擊過程,我們可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機上的惡意代碼、識別僵尸網絡(C&C)通訊、監測網絡數據滲出等多個環節入手。
而不論從哪個環節入手,都主要涉及以下幾類新型技術手段:
基于沙箱的惡意代碼檢測技術。要檢測惡意代碼,最具挑戰性的就是利用0day漏洞的惡意代碼。因為是0day,就意味著沒有特征,傳統的惡意代碼檢測技術就此失效。沙箱技術通俗的講就是構造一個模擬的執行環境,讓可疑文件在這個模擬環境中運行起來,通過可疑文件觸發的外在行為來判定是否是惡意代碼。
沙箱技術的模擬環境可以是真實的模擬環境,也可以是一個虛擬的模擬環境。而虛擬的模擬環境可以通過虛擬機技術來構建,或者通過一個特制程序來虛擬。
基于異常的流量檢測技術。傳統的IDS都是基于特征(簽名)的技術去進行DPI分析,有的也用到了一些簡單DFI分析技術。面對新型威脅,DFI技術的應用需要進一步深化。基于Flow,出現了一種基于異常的流量檢測技術,通過建立流量行為輪廓和學習模型來識別流量異常,進而識別0day攻擊、C&C通訊,以及信息滲出。本質上,這是一種基于統計學和機器學習的技術。
全包捕獲與分析技術。應對APT攻擊,需要做好最壞的打算。萬一沒有識別出攻擊并遭受了損失了怎么辦?對于某些情況,我們需要全包捕獲及分析技術(FPI)。借助天量的存儲空間和大數據分析(BDA)方法,FPI能夠抓取網絡中的特定場合下的全量數據報文并存儲起來,進行歷史分析或者準實時分析。通過內建的高效索引機制及相關算法,協助分析師剖絲抽繭,定位問題。
信譽技術。信譽技術早已存在,在面對新型威脅的時候,它可以助其他檢測技術一臂之力。無論是WEB URL信譽庫、文件MD5碼庫、僵尸網絡地址庫,還是威脅情報庫,都是檢測新型威脅的有力武器。而信譽技術的關鍵在于信譽庫的構建,這需要一個強有力的技術團隊來維護。
綜合分析技術。所謂綜合分析,就是在前述所有技術之上的,并且涵蓋傳統檢測技術之上的,一個橫向貫穿的分析。我們已經知道APT攻擊是一個過程,是一個組合,如果能夠將APT攻擊最多環節的信息綜合到一起,有助于確認一個APT攻擊行為。綜合分析技術要能夠從零散的攻擊事件背后透視出真正的持續攻擊行為,包括組合攻擊檢測技術、大時間跨度的攻擊行為分析技術、態勢分析技術、情境分析技術,等等。
人的技能。最后,要實現對新型攻擊的防范,除了上述新的監測/檢測技術之外,還需要依靠強有力的專業分析服務做支撐,通過專家團隊和他們的最佳實踐,不斷充實安全知識庫,進行即時的可疑代碼分析、滲透測試、漏洞驗證,等等。安全專家的技能永遠是任何技術都無法完全替代的。
apt檢測和防御方案分類
縱觀整個apt攻擊過程發現,有幾個步驟是apt攻擊實施的關鍵,包括攻擊者通過惡意代碼對員工個人電腦進行單點攻擊突破、攻擊者的內部橫向滲透、通過構建的控制通道獲取攻擊者指令,以及最后的敏感數據外傳等過程。當前的apt攻擊檢測和防御方案其實都是圍繞這些步驟展開。
我們把本屆rsa大會上收集到的apt檢測和防御方案進行了整理,根據它們所覆蓋的apt攻擊階段不同,將它們分為以下四類:
1、惡意代碼檢測類方案:
該類方案主要覆蓋apt攻擊過程中的單點攻擊突破階段,它是檢測apt攻擊過程中的惡意代碼傳播過程。大多數apt攻擊都是通過惡意代碼來攻擊員工個人電腦,從而來突破目標網絡和系統防御措施的,因此,惡意代碼檢測對于檢測和防御apt攻擊至關重要。
2、主機應用保護類方案:
該類方案主要覆蓋apt攻擊過程中的單點攻擊突破和數據收集上傳階段。不管攻擊者通過何種渠道向員工個人電腦發送惡意代碼,這個惡意代碼必須在員工個人電腦上執行才能控制整個電腦。因此,如果能夠加強系統內各主機節點的安全措施,確保員工個人電腦以及服務器的安全,則可以有效防御apt攻擊。
3、網絡入侵檢測類方案:
該類方案主要覆蓋apt攻擊過程中的控制通道構建階段,通過在網絡邊界處部署入侵檢測系統來檢測apt攻擊的命令和控制通道。安全分析人員發現,雖然apt攻擊所使用的惡意代碼變種多且升級頻繁,但惡意代碼所構建的命令控制通道通信模式并不經常變化,因此,可以采用傳統入侵檢測方法來檢測apt的命令控制通道。該類方案成功的關鍵是如何及時獲取到各apt攻擊手法的命令控制通道的檢測特征。
4、大數據分析檢測類方案:
該類方案并不重點檢測apt攻擊中的某個步驟,它覆蓋了整個apt攻擊過程。該類方案是一種網絡取證思路,它全面采集各網絡設備的原始流量以及各終端和服務器上的日志,然后進行集中的海量數據存儲和深入分析,它可在發現apt攻擊的一點蛛絲馬跡后,通過全面分析這些海量數據來還原整個apt攻擊場景。大數據分析檢測方案因為涉及海量數據處理,因此需要構建大數據存儲和分析平臺,比較典型的大數據分析平臺有hadoop
轉載自:http://www.youxia.org/2013/11/9946.html總結
- 上一篇: 堆排序的基本概念和基本思路
- 下一篇: 论文精读:Mask R-CNN